Til trods for stoppet for sessionslogning - hvor internetudbydere registrerer kilden og endepunktet for en internetkommunikation - så logger flere teleoperatører fortsat danskernes internettrafik.
Det fortæller Rigspolitiet, der har leveret inputtet i et svar fra justitsministeriet (PDF) til Folketingets Retsudvalg.
'Det bemærkes i den forbindelse, at selvom der efter ophævelsen af reglerne om sessionslogning ikke stilles krav til udbyderne om logning af oplysninger om internettrafik, så logger nogle udbydere dog alligevel i et vist omfang - og på frivilligt grundlag - oplysninger om internettrafik, bl.a. af hensyn til trafikafviklingen. Sådanne loggede oplysninger vil - efter indhentelse af en kendelse ved retten - kunne indgå i politiets arbejde,« står der i svaret, der politidirektør Svend Larsen som afsender.
Der står ikke noget om, hvilke eller hvor mange teleoperatører, der er tale om. Men hvorom alting er, så kan en sådan eventuel frivillig logning hos teleoperatørerne være i strid med Udbudsbekendtgørelsen, påpeger næstformand i IT-Politisk Forening Jesper Lund.
»Altså frivillig logning - med mindre det er oplysninger, der skal bruges til fakturering - det må man sådan set ikke,« siger han med henvisning til Udbudsbekendtgørelsens paragraf 23.
Også internetaktivist og datalog Christian Panton har på Twitter hæftet sig ved svaret, og hvorvidt en sådan logning er i overensstemmelse med Udbudsbekendtgørelsen. I et tweet spørger han direktør i brancheorganisationen Jakob Willer om hvilke selskaber der frivilligt logger sessionsdata. Han spørger også om hvordan det stemmer overens med udbudsbekendtgørelsen.
.@jakobwiller hvilke teleselskaber logger frivilligt sessionsdata, som @Rigspoliti antyder her? Og hvad med udb. bek? http://t.co/DAWM7LzHiY
— Christian Panton (@christianpanton) April 8, 2015
I Udbudsbekendtgørelsens paragraf 23 står der blandt andet:
»Udbydere af offentlige elektroniske kommunikationsnet eller -tjenester skal sikre, at trafikdata, jf. § 2, stk. 1, nr. 2, vedrørende abonnenter eller brugere slettes eller anonymiseres, når de ikke længere er nødvendige for fremføringen af kommunikationen, jf. dog stk. 2-5 og retsplejelovens § 786, stk. 4, eller regler udstedt i medfør heraf.«
Jesper Lund peger på, at der kan være teleoperatører, der kobler en ip-adresse til en person for at kunne tage fat i personen i forbindelse med eventuelle henvendelser om, at ip-adressen bliver misbrugt i en eller anden sammenhæng.
»Det kan tale for, at man kortvarigt gemmer oplysninger i forhold til, hvem der har benyttet en bestemt ip-adresse. Men at man i længere perioder skulle kunne gemme oplysninger med henvisning til, at man har brugt for dem i forhold til trafikafviklingen, det har jeg lidt svært ved at se,« siger Jesper Lund.
Overrasket branchedirektør
Direktør for teleoperatørernes brancheorganisation Teleindustrien, Jakob Willer, er umiddelbart overrasket over formuleringen i svaret fra Rigspolitiet:
»Mig bekendt er der ikke nogen, der laver frivillig sessionslogning. Og der er også regler, der sætter nogle grænser for, hvad man må,« siger han med henvisning til Udbudsbekendtgørelsen.
Jakob Willer vil nu forhøre sig blandt brancheforeningens medlemmer for at se, om han kan komme nærmere, hvad er ligger bag svaret fra Rigspolitiet.
Version2 har spurgt landets største teleoperatør, TDC, om virksomheden logger internettrafik på den måde, der lægges op til i svaret fra Rigspolitiet.
»Vi er stoppet med sessionslogning, så jeg tror ikke, de har TDC i tankerne,« lyder det kortfattede svar i en mail fra pressechef i TDC Ib Konrad Jensen.
Version2 forsøger at få et uddybende svar fra Rigspolitiet på, hvad der nærmere bestemt menes i forhold til logning i svaret til Folketingets Retsudvalg.
De logger sikkert alle sammen videre. De venter på de nye regler, før de ændrer på noget. Ellers skal de ændre flere gange, og det koster ekstra. De har sikkert lukket for et eller andet flag i en front end, men logningen den fortsætter givetvis bagved.
$ vinder , det sekund de kan slukke for det ekstra hardware så gør de det , men det er nok nemt at sætte tilbage når lover bliver ændret igen , men hvorfor betalt strøm/drift af noget som ikke bliver brugt
Lyder som om der nævnes to forskellige ting her:
1) Logning af hvem der bruger en IP adresse. Svært at komme udenom da sådan noget findes i logfiler fra DHCP serveren og man kan ikke fejlsøge hvis man slår alt logning fra. Desuden har man samme IP adresse i længere tid hos de fleste udbydere og netværket er nødvendigvis nødt til at vide hvem der har en adresse lige nu. Hos os har alle fast IP adresse, så man kan bare slå op i kunde databasen.
2) logning af trafik. Politiet tænker nok på Netflow systemer som bruges til at planlægge netværket efter. Hvis man kan se hvor meget trafik der er til bestemte andre udbydere, så kan man beregne om det betaler sig at etablere en peering. Kan også bruges til detektering af angreb og til fejlsøgning, indblik i om trafikken flyder korrekt i nettet med mere.
Men selvom nogle bruger Netflow, så kan man ikke konkludere at de logger oplysninger på præcis den måde der var krævet i Logningsbekendtgørelsen. Og man gemmer næppe detaljeret data i længere tid.
Helt rigtigt Baldur
Det viser bare endnu en gang, at JMIN slet ikke forstår det. Men det er jo sådan set meget naturligt, når sessionslogning aldrig er blevet brugt af politiet i nævneværdigt omfang.
De tænker sikkert også på den særlige logning af lokationsdata ved internetadgang hos TDC mobil, jf den tidligere redegørelse til retsudvalget, hvor man rodede denne logning og sessionslogning sammen.
Her er reglerne i logningsbekendtgørelsen noget uklare, men TDC mobil går nok for vidt i deres tolkning. Det har dog intet med sessionslogning at gøre.
Sæbeoperaen fortsætter åbenbart.
https://www.youtube.com/watch?v=0BHQT3Omqtw
Justitsministeriet skriver også
Den sidste sætning (lokationsoplysninger) er lidt interessant eftersom Justitsministeriet i et andet svar har sagt, at § 4, stk.1 nr. 6) ikke omfatter masteoplysninger ved datatrafik.
http://www.ft.dk/samling/20121/almdel/reu/spm/894/svar/1066459/1270487.pdf
Så måske er vi tilbage ved den gamle forestilling om at den nu ophævede sessionslogning også omfattede lokationsdata?
Naturligvis bliver alt logget, som kan logges. Alt andet ville være utroligt dumt. Jeg logger da også alt, jeg kan på min hjemmeside. Jeg bekymrer mig faktisk om sikkerhed.
Problemet er ikke kun hvad der logges, men hvad det bliver brugt til. Jeg kunne aldrig drømme om at videregive mine logs til andre. Det kommer simpelthen ikke andre ved. Og samtlige mine logs ligger over www-root af netop den årsag. De logs er mine og ingen andres.
Men det er helt nødvendigt for mig at vide, hvem der besøger mine sider hvornår. Ellers kan jeg ikke forsvare mig imod ondsindede brugere.
Jeg ville heller ikke have tillid til en udbyder, som ikke logger. Jeg ville umiddelbart mene at det betyder, deres interne sikkerhed er noget rod. Og det ville jeg mene af simpel erfaring.
Men det har betydning, hvem de deler de oplysninger med. Og at det ikke her gælder indholdet, men kun meta data. Intern sikkerhed er helt essentiel. Salg af de oplysninger eller bare vidregivelse af dem til tredjepart, er helt klart ikke i orden. Også netop derfor skal der være en side med privatlivspolitik, hvor dette bliver beskrevet udførligt.
OK, så du mener at en udbyder der ikke logger, ikke har sikkerheden i orden ?
Kan du ikke forklare mig så, hvad det er for en sikkerhed udbyderen ikke har i orden ?
Er der nogen der har anmeldt den ulovlige sessionslogning?
Ja.
I tilfælde af angreb på en server, er det helt essentielt at man kan følge optakten.
Hvis du er under angreb, men ikke har en log at kigge på, så ender du med ingenting. Du har intet at analysere udfra, så du lærer intet, og kan komme under nøjagtigt samme angreb igen. Og igen.
Der er forskel på at logge og at trace.
Logging er som tommelfingerregel en ordnet kopiering af de informationer, som browseren frivilligt afgiver ved en request.
Tracing er når man inkorporerer i et site eller et stykke software eller service mekanismer, som specifikt bruges til at spore en betemt bruger og evt. dennes adfærdsmønster, og også ud over domænet.
Jeg logger selv alle HTTP headers. Jeg sætter en cookie, hvis brugeren ikke er ønsket på siden efter "scanning" for sårbarheder (det virker så kun imod 1 ud af 100 eller så...).
Jeg har som test en (simpel) automatisk analyse af loggen bygget ind. Det er en teknik, man skal tage gelinde, da det "suger" kraft fra andre ting.
Jeg logger også alle cookies. Jeg sætter iøvrigt også selv alle cookies.
Hvad jeg taler om er udelukkende sikkerhedsformål og til internt brug.
Jeg er græsk katolsk hvilke andre sider du besøger. Jeg er ligeglad med, hvilket køn du er, hvilken politisk overbevisning, hvilke ting du sidst har købt på nettet osv. Det har intet med sikkerhed at gøre, og derfor tracer jeg heller ikke.
Derimod så er jeg ret interesseret i, hvordan din færden er på siden, og om den afviger fra normalen. Og jeg forsøger så tidligt som muligt at spotte og blocke alle scanninger eller direkte angreb. Og til det er jeg nødt til at have en log.
Facebook logger naturligvis internt til sikkerhedsformål. Men de tracer også alle de overhovedet kan. Det er ikke det jeg gør, og det er ikke det, som er mit formål.
Lad mig spørge i stedet:
Har du/i selv en hjemmeside med mulighed for brugerinput?
Og du/i har så ikke logging af brugerne?
Har du/i nogensinde oplevet hosteren har været angrebet?
Jeg har.
Der kom - på HTTP niveau, så det var serveren selv, som var angrebet - en fin lille java-script i header på alle mine sider, som essentielt bad brugerens browser om at downloade malware. Og det malware virkede. Det slukkede for min antivirus (som jeg stolede på dengang).
OK, så. Lad os antage, at min hoster dengang IKKE havde en log?
Jeg ville ikke stole på, de kunne forsvare sig imod et sådant angrteb igen. Et angreb, som også gik ud over mig.
Jeg lærte selv hvor vigtig en log er, efter at én af mine sider kom under helt særligt tungt angreb. Dér gik der en prås op for mig. Man kan ikke forsvare sig imod sådant uden logging.
Tro mig om du vil; alle, som ved hvad de gør, logger. Og det gør V2 også.
...og V2's anti-XSS eller hvad det er - er ret spøjst. Jeg må ikke bruge ordet javascript i ovenstående. Der skal være bindestreg imellem.
Uha.
Ideen om at det er ok at indsamle personhenførbare data, når bare man ikke udleverer dem, er helt hen i vejret og dybt ulovligt.
Ideen i vores lovgivning er netop, at man kun må indsamle og opbevare personhenførbare data, når der er et værdigt formål og en hjemmel til det.
For der er jo altid en risiko for misbrug. Og samtidigt kan det altid udleveres til politiet efter en editionskendelse - selv om det er ulovligt indsamlet.
Det så vi i Tvind-sagen, hvor Tele2 havde bevaret alle deres gamle mails i en overforsigtig back-up. Deres forsvarsadvokat, Bjørn Elmquist, forsøgte at få politiets indsamling af disse mails efter en editionskendelse afvist af retten, da de var ulovligt indsamlet af Tele2. Men det afviste retten, og det blev afgørende beviser i sagen.
Efterfølgende rejste Datatilsynet sagen over for Televirksomhederne og krævede garantier for, at data ikke blev ulovligt opbevaret via back-up mekanismer.
Så jeg håber sandelig ikke, at "gem alt" tankegangen er udbredt i branchen.
Man kan stadig lave statistik mm. via anonymisering af data.
Du blander vist tingene lovligt meget sammen. Selvfølgelig har din udbyder logning på sin server.
Men udbyderen har forhåbentligt ikke logning på hvad du foretager dig med din Internetforbindelse.....
Og det er ikke fordi jeg på nogen måde er i sikkerhedsbranchen. Men det er ikke fremsynet ikke at have logs. Diskussionen bør gå på hvad de logs bør indeholde, med hvem de udveksles og hvordan de opbevares, ikke om man skal logge eller ej.
Igen, jeg tør godt vove den påstand, at omend selve formen måske varierer, så logger V2 ret tæt op af det jeg har beskrevet med en systematiseret kopieret række af cookies, IP og HTTP headers samt tid. Måske endda mere. Et så (forholdsvist) stort site har ikke råd til andet. Tænk på hvad en defacing vil koste f.eks.
Læg mærke til afgrænsingen af logning i forhold til tracing (i mangel af bedre term). Der er ret stor forskel. Intern sikkerhed har intet med reklameformål at gøre.
Logning har også et andet formål end sikkerhed. Det bruges til at fejlfinde. Jeg har en cell i min log til at vise trace af fejl. Her kommer der fejlmeddelelser med diverse værdier for interne variabler o.lign. som jeg bestemmer (en slags trace af, hvordan siden reagerer på en given request+IP, HEADER data mv).
Det er logningen, som har gjort, at jeg kan sige med god sandsynlighed, om en IP tilhører et bestemt botnet. Ligesom ondsindede mennesker kan fingerprinte din browser, så kan man også i en vis udstrækning fingerprinte botnets.
Lidt mere perifert kan logning bruges til optimering af sidernes sammensætning. Jeg bruger så kun HTTP REFERRER til det og ikke særligt intenst. Men når vi over i egentlig SEO, så er det nok noget Google Analytics agtigt. Jeg gider bare ikke unødvendigt Javascript, mest det.
Rune, du har misforstået emnet lidt. Vi taler om logning af netværkstrafik hos internetudbydere. Der er ikke nogen logfil fra en webserver eller nogen anden "naturlig" logning i netværkene.
En internetudbyders netværk består af routere og switche. De flytter netværkspakker fra port 1 til port 2. De logger ikke hvad der er blevet flyttet.
Tænk på din egen lille router, som du har stående derhjemme. Hvor meget logger den lige? Hvis du er heldig, så har den en DHCP log. Hvis den er meget avanceret, så har den en firewall, der måske kan logge hvad den har droppet af trafik. Men ud over det, så logger den IKKE hvilke sites du har besøgt, IKKE hvilke cookies der blev sendt og alt det andet du snakker om.
Logning af netværkstrafik er hverken naturlig, billig eller triviel. Det er bestemt ikke noget man "bare slår til".
Og hvad er det du synes at en switch bør logge? En switch/router har ikke som sådan indsigt i indholdet af netværkspakkerne. Det er nogle meget hurtige kredsløb, som er designet til at flytte netværkspakker fra en port til en anden. Disse kredsløb er ikke designet til at tænke over betydningen af de bits der bliver flyttet. Det er kun headeren af pakken der inspiceres og det kun for at finde enten MAC eller IP adresse, så at man kan vide hvorhen pakken skal flyttes.
Der er principielt kun grund til at logge for intern sikkerhed og fejlfinding.
Hvad skal man bruge alt ud over det til? Det sløver kun hastighed og bruger strøm. Det er under forudsætning at man ikke på nogen måde kan angribe en service eller teknisk opsætning udefra. Så er der ingen logiske begrundelser for det.
Så kan man godt spørge hvorfor de frivilligt logger, hvis de ikke får forbedret intern sikkerhed ud af det. Det giver ikke mening.
Teleselskaberne skal stadig logge oplysninger om IP-adresser, dvs. hvem der havde en bestemt IP-adresse på et bestemt tidspunkt.
Men de skal ikke længere logge spor af selve trafikken i form af sessionslogning. Det er ikke noget, som de kan gøre frivilligt. Det er forbudt efter direktivet som udmøntet i udbudsbekendtgørelsen.
Hvorfor siger rigspolitiet så ikke, at det er ulovligt, at de fortsætter?
Fordi de er ligeglade eller endda tilfredse. For de kan jo indhente data uanset om det er indsamlet lovligt eller ulovligt.
Og her er der grund til forargelse.
For vi har åbenbart et politi, der accepterer lovovertrædelser, når det er i deres egen interesse.